Security-Forscher haben eine neue Phishing-Methode ausgemacht, die ein großes Problem, mit dem sich Online-Datendiebe heutzutage konfrontiert sehen, beseitigt: Ihre Opfer dazu zu bewegen, ihre betrügerischen Mails zu öffnen und die darin enthaltenen Links auf bösartige Websites anzuklicken. Nicht nur werden Phishing-Nachrichten zunehmend von Spam-Filtern erkannt und geblockt, auch steigt das Sicherheitsbewusstsein und Misstrauen ihrer Empfänger gegenüber den angeblich von legitimen Unternehmen wie Banken stammenden Messages.
Pop-up-Fenster statt Mail
Ungleich höhere Erfolgschancen räumen Sicherheitsexperten so genannten In-Session-Phishing-Angriffen ein. Sie erfolgen, während das Opfer beispielsweise bei einer Online-Banking-Applikation eingeloggt ist: Kriminelle versehen dazu eine zuvor kompromittierte legitime Banken-Site mit HTML-Code, der wie eine von dem Finanzinstitut stammende Pop-up-Warnung aussieht. Letztere fordert den Nutzer beispielsweise zur Eingabe von Passwort beziehungsweise Login-Informationen oder auch zur Beantwortung diverser sicherheitsbezogener Fragen auf, anhand derer Banken üblicherweise die Identität ihrer Kunden überprüfen.
Zwar muss der Angreifer sein Opfer auch hier von der Echtheit des Pop-up-Fensters überzeugen. Ein von Amit Klein, Chief Technology Officer (CTO) bei dem Sicherheitsanbieter Trusteer, entdeckter Bug in der Javascript-Engine aller gängigen Browser (darunter der Internet Explorer, Firefox, Safari und Chrome) soll Phishern diese Aufgabe jedoch erheblich erleichtern.
Javascript-Bug leistet Schützenhilfe
Bei der Untersuchung, wie Browser Javascript nutzen, stießen der Security-Experte und sein Team auf eine Schwachstelle, durch die sich eruieren lässt, ob ein Online-Nutzer auf einer Website eingeloggt ist. Voraussetzung dafür ist allerdings, dass Letztere eine bestimmte Javascript-Funktion nutzt, die Klein verständlicherweise nicht näher spezifiziert. Die betroffenen Browser-Hersteller wurden bereits von dem Bug in Kenntnis gesetzt, so dass der Fehler in absehbarer Zeit behoben werden dürfte. Bis dahin allerdings könnten Kriminelle, die den Fehler entdecken, Schadcode kreieren, der - mit einer Liste ausgewählter URLs konfrontiert - überprüft, ob sich ein Web-Surfer bei auf einer der dort aufgeführten Sites eingeloggt hat. "Statt willkürlich eine Phishing-Nachricht zu verschicken, kann ein Angreifer ausloten, ob ein Nutzer gerade angemeldet ist", so Klein. Die Tatsache, dass das Popup auftaucht, während der Nutzer auf der ihm vertrauten Banking-Site eingeloggt ist, verleihe diesem ungleich mehr Glaubwürdigkeit, warnt der Trusteer-CTO.
Zum Schutz vor In-session-Phishing-Attacken empfiehlt Klein:
-
Sicherheits-Tools für Browser einzusetzen,
-
sich stets bei Online-Banking- und anderen kritischen Online-Applikationen und -Accounts abzumelden, bevor man weitere Websites ansteuert;
-
bei Pop-ups, die während einer Web-Session auftauchen, ohne dass ein Hyperlink angeklickt wurde, äußerst misstrauisch zu sein.